Didacticiel : apporter votre ASN à l'IPAM

Mode de mise au point

Didacticiel : apporter votre ASN à l'IPAM - Amazon Virtual Private Cloud

Conditions préalables à l'onboarding de votre ASN Étapes du didacticiel

Si vos applications utilisent des adresses IP fiables et des numéros de système autonome (ASNs) autorisés par vos partenaires ou clients sur leur réseau, vous pouvez exécuter ces applications AWS sans demander à vos partenaires ou clients de modifier leurs listes d'autorisation.

Un numéro de système autonome (ASN) est un numéro globalement unique qui permet d'identifier un groupe de réseaux sur Internet et d'échanger des données de routage avec d'autres réseaux de manière dynamique à l'aide du Protocole Border Gateway. Les fournisseurs de services Internet (ISPs), par exemple, l'utilisent ASNs pour identifier la source du trafic réseau. Toutes les organisations n'achètent pas le leur ASNs, mais celles qui le font peuvent apporter leur ASN à AWS.

Le numéro de système autonome (BYOASN) vous permet de faire connaître les IPv6 adresses IPv4 ou les adresses auxquelles vous apportez votre propre ASN public au lieu de l'ASN. AWS AWS Lorsque vous utilisez le BYOASN, le trafic provenant de votre adresse IP transporte votre ASN au lieu de l'ASN AWS et vos charges de travail sont accessibles aux clients ou aux partenaires qui ont autorisé le trafic répertorié en fonction de votre adresse IP et de votre ASN.

Important

Effectuez ce didacticiel en utilisant le compte administrateur IPAM dans la région d’accueil de votre IPAM.
Ce didacticiel part du principe que vous possédez l'ASN public que vous souhaitez apporter à IPAM et que vous avez déjà apporté un CIDR BYOIP AWS et l'avez provisionné dans un pool de votre périmètre public. Vous pouvez apporter un ASN à l'IPAM à tout moment, mais pour l'utiliser, vous devez l'associer à un CIDR que vous avez ajouté à votre compte. AWS Ce tutoriel suppose que vous l'avez déjà fait. Pour de plus amples informations, veuillez consulter Didacticiel : apporter vos adresses IP à IPAM.
Vous pouvez changer sans délai entre votre propre ASN publicitaire ou un AWS ASN, mais vous êtes limité à passer d'un AWS ASN à votre propre ASN une fois par heure.
Si votre CIDR BYOIP est publié actuellement, vous n'avez pas à le retirer de la publicité pour l'associer à votre ASN.

Conditions préalables à l'onboarding de votre ASN

Vous aurez besoin des éléments suivants pour suivre ce didacticiel :

Votre ASN public de 2 ou 4 octets.
Si vous avez déjà apporté une plage d'adresses IP à AWS withDidacticiel : apporter vos adresses IP à IPAM, vous avez besoin de la plage CIDR d'adresses IP. Vous aurez également besoin d’une clé privée. Vous pouvez utiliser la clé privée que vous avez créée lorsque vous avez introduit la plage d'adresses IP CIDR AWS ou vous pouvez créer une nouvelle clé privée comme décrit dans la section Création d'une clé privée et génération d'un certificat X.509 dans le guide de EC2 l'utilisateur Amazon.
Lorsque vous apportez une plage d' IPv6 adresses IPv4 OR à AWS withDidacticiel : apporter vos adresses IP à IPAM, vous créez un certificat X.509 et vous le téléchargez dans l'enregistrement RDAP de votre RIR. Vous devez charger le même certificat que vous avez créé dans le registre RDAP de votre RIR pour l’ASN. Veillez à inclure le -----BEGIN CERTIFICATE----- and -----END CERTIFICATE----- avant et après la partie encodée. Tout ce contenu doit se trouver sur une seule et longue ligne. La procédure de mise à jour de RDAP dépend de votre RIR :
- Pour ARIN, utilisez le portail du gestionnaire de compte pour ajouter le certificat dans la section « Commentaires publics » pour l’objet « Informations réseau » représentant votre ASN à l’aide de l’option « Modifier l’ASN ». Ne l’ajoutez pas à la section des commentaires de votre organisation.
- Pour RIPE, ajoutez le certificat en tant que nouveau champ « descr » à l’objet « aut-num » représentant votre ASN. Vous les trouverez généralement dans la section « Mes ressources » du
  
  portail de la base de données RIPE. Ne l’ajoutez pas dans la section des commentaires de votre organisation ni dans le champ « remarques » de l’objet « aut-num ».
- Pour l’APNIC, envoyez le certificat par e-mail à l’adresse helpdesk@apnic.net afin de l’ajouter manuellement au champ « remarques » de votre ASN. Envoyez l’e-mail en utilisant le contact autorisé APNIC pour l’ASN.
Lorsque vous apportez une plage d’adresses IP à IPAM, vous créez un ROA pour vérifier que vous contrôlez l’espace d’adresses IP que vous apportez à IPAM. En plus de ce ROA, vous devez avoir un deuxième ROA dans votre RIR avec l’ASN que vous apportez à IPAM. Si vous n’avez pas ce deuxième ROA pour l’ASN dans votre RIR, complétez 3. Créez un objet ROA dans votre RIR. Ignorez les autres étapes.

Étapes du didacticiel

Effectuez les étapes ci-dessous à l'aide de la AWS console ou du AWS CLI.

AWS Management Console

Ouvrez la console IPAM à https://console.aws.amazon.com/ipam/l'adresse.
Dans le panneau de navigation de gauche, choisissez IPAMs.
Choisissez votre IPAM.
Choisissez l'BYOASNsonglet, puis Provisionner BYOASNs.
Saisissez l'ASN. Par conséquent, le champ Message est automatiquement renseigné avec le message que vous devrez vous connecter à l'étape suivante.
- Le format du message est le suivant, où ACCOUNT est votre numéro de AWS compte, ASN est l'ASN que vous apportez à IPAM et YYYYMMDD est la date d'expiration du message (qui par défaut est le dernier jour du mois suivant). Exemple :
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
Copiez le message et remplacez la date d'expiration par votre propre valeur si vous le souhaitez.

Signer le message à l’aide de la clé privée. Exemple :


signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

Sous Signature, entrez la signature.
(Facultatif) Pour provisionner un autre ASN, choisissez Provisionner un autre ASN. Vous pouvez en approvisionner jusqu'à 5 ASNs. Pour augmenter ce quota, consultez Quotas pour votre IPAM.
Choisissez Provisionner.
Consultez le processus de provisionnement dans l'BYOASNsonglet. Attendez que l'état passe de « En attente de fourniture » à « provisionné ». BYOASNs dans un état où le provisionnement a échoué sont automatiquement supprimés au bout de 7 jours. Une fois que l'ASN est correctement provisionné, vous pouvez l'associer à un CIDR BYOIP.
Dans le panneau de navigation de gauche, choisissez Groupes.
Choisissez votre portée publique. Pour plus d'informations sur les portées, consultez Fonctionnement d'IPAM.
Choisissez un groupe régional auquel un CIDR BYOIP est provisionné. Le pool doit avoir le paramètre Service défini sur EC2et un paramètre régional doit être choisi.
Choisissez l'CIDRsonglet et sélectionnez un CIDR BYOIP.
Choisissez Actions > Gérer les associations BYOASN.
Sous Associé BYOASNs, choisissez l'ASN auquel vous avez fait référence. AWS Si vous en avez plusieurs ASNs, vous pouvez les associer ASNs au CIDR BYOIP. Vous pouvez en associer ASNs autant que possible à l'IPAM. Notez que vous pouvez en apporter jusqu'à 5 ASNs à IPAM par défaut. Pour de plus amples informations, veuillez consulter Quotas pour votre IPAM.
Choisissez Associer.
Attendez que l'association d'ASN soit terminée. Une fois que l'ASN est correctement associé au CIDR BYOIP, vous pouvez à nouveau publier le CIDR BYOIP.
Choisissez l'CIDRsonglet pool.
Sélectionnez le CIDR BYOIP et cliquez sur Actions >Publicité. Par conséquent, vos options ASN sont affichées : l'ASN Amazon et celles que ASNs vous avez apportées à IPAM.
Sélectionnez l'ASN que vous avez apporté à l'IPAM et choisissez Publicité CIDR. Par conséquent, le CIDR BYOIP est annoncé et la valeur dans la colonne Publicité passe de Retiré à Publié. La colonne Numéro de système autonome affiche l'ASN associé au CIDR.
(facultatif) Si vous décidez de reconvertir l'association d'ASN en Amazon ASN, sélectionnez le CIDR BYOIP, puis choisissez à nouveau Actions > Publicité. Cette fois, choisissez l'ASN Amazon. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.

Le didacticiel est terminé.

Nettoyage

Dissocier l'ASN du CIDR BYOIP
- Pour retirer le CIDR BYOIP de la publicité, dans votre groupe dans la portée publique, choisissez le CIDR BYOIP et choisissez Actions > Retirer de la publicité.
- Pour dissocier l'ASN du CIDR, choisissez Actions > Gérer les associations BYOASN.
Déprovisionner l'ASN
- Pour déprovisionner l'ASN, dans l' BYOASNs onglet, choisissez l'ASN, puis choisissez Déprovisionner l'ASN. Par conséquent, l'ASN est déprovisionné. BYOASNs dans un état Déprovisionné sont automatiquement supprimés au bout de 7 jours.

Le nettoyage est terminé.

Command line

Fournissez votre ASN en incluant votre ASN et votre message d’autorisation. La signature est le message signé avec votre clé privée.


aws ec2 provision-ipam-byoasn --ipam-id $ipam_id --asn 12345 --asn-authorization-context Message="$text_message",Signature="$signed_message"

Décrivez votre ASN pour suivre le processus de provisionnement. Si la demande aboutit, l'ProvisionStatusensemble devrait être provisionné au bout de quelques minutes.
```
aws ec2 describe-ipam-byoasn 
```
Associez votre ASN à votre CIDR BYOIP. Tout ASN personnalisé à partir duquel vous souhaitez faire de la publicité doit d'abord être associé à votre CIDR.
```
aws ec2 associate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Décrivez votre CIDR pour suivre le processus d'association.
```
aws ec2 describe-byoip-cidrs --max-results 10
```
Publiez votre CIDR avec votre ASN. Si le CIDR est déjà publié, cela remplacera l'ASN d'origine d'Amazon par le vôtre.
```
aws ec2 advertise-byoip-cidr --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Décrivez votre CIDR pour voir l'état de l'ASN passer d'associé à publié.
```
aws ec2 describe-byoip-cidrs --max-results 10
```

Le didacticiel est terminé.

Nettoyage

Effectuez l’une des actions suivantes :
- Pour retirer uniquement votre publicité ASN et recommencer à utiliser Amazon ASNs tout en maintenant le CIDR annoncé, vous devez appeler advertise-byoip-cidr avec la AWS valeur spéciale du paramètre asn. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.
```
aws ec2 advertise-byoip-cidr --asn AWS --cidr xxx.xxx.xxx.xxx/n 
```
- Pour retirer simultanément votre publicité CIDR et ASN, vous pouvez appeler. withdraw-byoip-cidr
```
aws ec2 withdraw-byoip-cidr --cidr xxx.xxx.xxx.xxx/n
```
Pour nettoyer votre ASN, vous devez d'abord le dissocier de votre CIDR BYOIP.
```
aws ec2 disassociate-ipam-byoasn --asn 12345 --cidr xxx.xxx.xxx.xxx/n
```
Une fois que votre ASN est dissocié de tous les BYOIP CIDRs auxquels vous l'avez associé, vous pouvez le déprovisionner.
```
aws ec2 deprovision-ipam-byoasn --ipam-id $ipam_id --asn 12345 
```
Le CIDR BYOIP peut également être déprovisionné une fois que toutes les associations ASN ont été supprimées.
```
aws ec2 deprovision-ipam-pool-cidr --ipam-pool-id ipam-pool-1234567890abcdef0 --cidr xxx.xxx.xxx.xxx/n
```

Confirmez le déprovisionnement.


aws ec2 get-ipam-pool-cidrs --ipam-pool-id ipam-pool-1234567890abcdef0

Le nettoyage est terminé.

anchor anchor

Ouvrez la console IPAM à https://console.aws.amazon.com/ipam/l'adresse.
Dans le panneau de navigation de gauche, choisissez IPAMs.
Choisissez votre IPAM.
Choisissez l'BYOASNsonglet, puis Provisionner BYOASNs.
Saisissez l'ASN. Par conséquent, le champ Message est automatiquement renseigné avec le message que vous devrez vous connecter à l'étape suivante.
- Le format du message est le suivant, où ACCOUNT est votre numéro de AWS compte, ASN est l'ASN que vous apportez à IPAM et YYYYMMDD est la date d'expiration du message (qui par défaut est le dernier jour du mois suivant). Exemple :
```
text_message="1|aws|ACCOUNT|ASN|YYYYMMDD|SHA256|RSAPSS"
```
Copiez le message et remplacez la date d'expiration par votre propre valeur si vous le souhaitez.

Signer le message à l’aide de la clé privée. Exemple :


signed_message=$( echo -n $text_message | openssl dgst -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -sign private-key.pem -keyform PEM | openssl base64 | tr -- '+=/' '-_~' | tr -d "\n")

Sous Signature, entrez la signature.
(Facultatif) Pour provisionner un autre ASN, choisissez Provisionner un autre ASN. Vous pouvez en approvisionner jusqu'à 5 ASNs. Pour augmenter ce quota, consultez Quotas pour votre IPAM.
Choisissez Provisionner.
Consultez le processus de provisionnement dans l'BYOASNsonglet. Attendez que l'état passe de « En attente de fourniture » à « provisionné ». BYOASNs dans un état où le provisionnement a échoué sont automatiquement supprimés au bout de 7 jours. Une fois que l'ASN est correctement provisionné, vous pouvez l'associer à un CIDR BYOIP.
Dans le panneau de navigation de gauche, choisissez Groupes.
Choisissez votre portée publique. Pour plus d'informations sur les portées, consultez Fonctionnement d'IPAM.
Choisissez un groupe régional auquel un CIDR BYOIP est provisionné. Le pool doit avoir le paramètre Service défini sur EC2et un paramètre régional doit être choisi.
Choisissez l'CIDRsonglet et sélectionnez un CIDR BYOIP.
Choisissez Actions > Gérer les associations BYOASN.
Sous Associé BYOASNs, choisissez l'ASN auquel vous avez fait référence. AWS Si vous en avez plusieurs ASNs, vous pouvez les associer ASNs au CIDR BYOIP. Vous pouvez en associer ASNs autant que possible à l'IPAM. Notez que vous pouvez en apporter jusqu'à 5 ASNs à IPAM par défaut. Pour de plus amples informations, veuillez consulter Quotas pour votre IPAM.
Choisissez Associer.
Attendez que l'association d'ASN soit terminée. Une fois que l'ASN est correctement associé au CIDR BYOIP, vous pouvez à nouveau publier le CIDR BYOIP.
Choisissez l'CIDRsonglet pool.
Sélectionnez le CIDR BYOIP et cliquez sur Actions >Publicité. Par conséquent, vos options ASN sont affichées : l'ASN Amazon et celles que ASNs vous avez apportées à IPAM.
Sélectionnez l'ASN que vous avez apporté à l'IPAM et choisissez Publicité CIDR. Par conséquent, le CIDR BYOIP est annoncé et la valeur dans la colonne Publicité passe de Retiré à Publié. La colonne Numéro de système autonome affiche l'ASN associé au CIDR.
(facultatif) Si vous décidez de reconvertir l'association d'ASN en Amazon ASN, sélectionnez le CIDR BYOIP, puis choisissez à nouveau Actions > Publicité. Cette fois, choisissez l'ASN Amazon. Vous pouvez revenir à l'ASN Amazon à tout moment, mais vous ne pouvez passer à un ASN personnalisé qu'une fois par heure.

Le didacticiel est terminé.

Nettoyage

Dissocier l'ASN du CIDR BYOIP
- Pour retirer le CIDR BYOIP de la publicité, dans votre groupe dans la portée publique, choisissez le CIDR BYOIP et choisissez Actions > Retirer de la publicité.
- Pour dissocier l'ASN du CIDR, choisissez Actions > Gérer les associations BYOASN.
Déprovisionner l'ASN
- Pour déprovisionner l'ASN, dans l' BYOASNs onglet, choisissez l'ASN, puis choisissez Déprovisionner l'ASN. Par conséquent, l'ASN est déprovisionné. BYOASNs dans un état Déprovisionné sont automatiquement supprimés au bout de 7 jours.

Le nettoyage est terminé.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.